Te sugerimos que pruebes esta resolución en un entorno controlado antes de pasarlo a producción, saludos.
Solución:
Estamos experimentando el mismo problema. Como informó Sean, parece que Chrome en Windows XP negocia TLSv1.2 a pesar de que el sistema operativo no es compatible con la función hash SHA-2 (por ejemplo, SHA-256 o SHA-384).
Descubrimos que Chrome falla cuando recibe una “solicitud de certificado de cliente” después de SERVER HELLO. El SERVIDOR HELLO negocia RC4-SHA1 (en nuestro entorno) que debería tener éxito. El paquete problemático parece la “solicitud de certificado de cliente” que incluye funciones SHA-2 (así como SHA1) para hash.
Invocar Chrome con “–enable-logging –log-level=0” genera el siguiente mensaje: ERROR:nss_ssl_util.cc(193)]ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED: NSS error -12222, OS error -2146893816
Este es un error del sistema operativo correspondiente a “NTE_BAD_ALGID” para la función CryptSignHash: http://msdn.microsoft.com/en-us/library/windows/desktop/aa380280(v=vs.85).aspx
Deshabilitar TLSv1.2 en el servidor debería solucionar el problema. Pero creo que Chrome debería preferir SHA1 en Windows XP.
Estoy experimentando lo mismo aquí con los sistemas cliente de Windows 7 que no pueden autenticarse con certificados de cliente en algunos de nuestros sistemas, pero no en otros. Los servidores afectados ejecutan Apache Tomcat mientras que los no afectados ejecutan IIS7, aunque dudo en identificar esa diferencia como la culpable.
¿Alguien más está viendo esto?
EDITAR:
soy capaz de elimine el problema desactivando TLSv1.2 en el servidor ¿Alguien más puede replicar esta experiencia?
También me interesaría saber si alguien más está viendo esto en algo que no sea la plataforma Windows, ya que es el único lugar donde está sucediendo aquí (la misma versión OSX no tiene problemas).
EDIT2:
Informe de errores de Chrome aquí: https://code.google.com/p/chromium/issues/detail?id=278370
EDIT3:
Debería estar funcionando de nuevo en la última versión estable de Chrome. Chrome 30 tendrá una solución más robusta, pero 29.x también debería funcionar ahora.